WordPress站点被黑客入侵的11个主要原因

最近，我们的一位读者问我们，为什么WordPress网站遭到黑客攻击？令人沮丧的是发现您的WordPress网站已被黑客入侵。在本文中，我们将分享WordPress网站遭到黑客入侵的主要原因，因此您可以避免这些错误并保护您的网站。

为什么WordPress会成为黑客的目标？

首先，不仅仅是WordPress。互联网上的所有网站都容易受到黑客攻击。

WordPress网站成为通用目标的原因是因为WordPress是世界上最受欢迎的网站构建器。它为所有网站中超过31％的网站提供支持，这意味着全球有数亿个网站。

这种巨大的流行度使黑客可以轻松地找到安全性较低的网站，以便他们可以利用它。

黑客有不同的动机来入侵网站。有些是初学者，他们只是在学习利用不太安全的网站。

一些黑客具有恶意意图，例如散布恶意软件，使用网站攻击其他网站或向互联网发送垃圾邮件。

话虽如此，让我们看一下WordPress网站被黑客入侵的一些主要原因，以及如何防止您的网站被黑客入侵。

1.不安全的虚拟主机

与所有网站一样，WordPress网站都托管在Web服务器上。一些托管公司没有适当地保护其托管平台。这使得托管在其服务器上的所有网站都容易受到黑客攻击。

通过为您的网站选择最佳的WordPress托管提供商，可以轻松避免这种情况。它可以确保您的网站托管在安全的平台上。适当安全的服务器可以阻止WordPress网站上的许多最常见攻击。

如果您需要采取额外的预防措施，则建议使用托管的WordPress托管提供商。

2.使用弱密码

密码是您的WordPress网站的密钥。您需要确保为以下每个帐户使用一个唯一的强密码，因为它们都能为黑客提供对您网站的完全访问权限。

• 您的WordPress管理员帐户
• 虚拟主机控制面板帐户
• FTP帐户
• 用于WordPress网站的MySQL数据库
• 用于WordPress管理员或托管帐户的电子邮件帐户

所有这些帐户均受密码保护。使用弱密码会使黑客更容易使用一些基本的黑客工具来破解密码。

您可以通过为每个帐户使用唯一且安全的密码轻松避免这种情况。请参阅关于为WordPress初学者管理密码的最佳方法的指南，以了解如何管理所有这些强密码。

3.对WordPress管理员（wp-admin目录）的无保护访问

WordPress管理区域使用户可以在WordPress网站上执行不同的操作。它也是WordPress网站最常受到攻击的区域。

使其不受保护可以使黑客尝试不同的方法来破解您的网站。您可以通过在WordPress admin目录中添加身份验证层来使他们感到困难。

首先，您应该使用密码保护您的WordPress管理区域。这增加了一个额外的安全层，任何尝试访问WordPress管理员的人都必须提供额外的密码。

如果您运行多作者或多用户WordPress网站，则可以为您网站上的所有用户强制使用强密码。您还可以添加两个因素的身份验证，以使黑客更加难以进入您的WordPress管理区域。

4.不正确的文件权限

文件权限是Web服务器使用的一组规则。这些权限可帮助您的Web服务器控制对站点文件的访问。不正确的文件权限可能使黑客有权写入和更改这些文件。

您所有的WordPress文件都应具有644值作为文件权限。WordPress网站上的所有文件夹的文件权限都应为755。

请参阅有关如何解决WordPress中的图片上传问题的指南，以了解如何应用这些文件权限。

5.不更新WordPress

一些WordPress用户担心更新其WordPress网站。他们担心这样做会破坏他们的网站。

WordPress的每个新版本均修复了错误和安全漏洞。如果您不更新WordPress，则有意让您的网站容易受到攻击。

如果您担心更新会破坏您的网站，则可以在运行更新之前创建完整的WordPress备份。这样，如果某些操作不起作用，那么您可以轻松地还原到以前的版本。

6.不更新插件或主题

就像核心WordPress软件一样，更新主题和插件也同样重要。使用过时的插件或主题可能会使您的网站易受攻击。

安全漏洞和错误通常在WordPress插件和主题中发现。通常，主题和插件作者会很快对其进行修复。但是，如果用户不更新其主题或插件，那么他们将无能为力。

确保您的WordPress主题和插件保持最新。

7.使用普通FTP代替SFTP / SSH

FTP帐户用于使用FTP客户端将文件上传到Web服务器。大多数主机提供商使用不同的协议支持FTP连接。您可以使用普通FTP，SFTP或SSH进行连接。

当您使用普通FTP连接到站点时，您的密码将未经加密地发送到服务器。它可以被监视并且很容易被盗。不要使用FTP，而应始终使用SFTP或SSH。

您无需更改FTP客户端。大多数FTP客户端可以通过SFTP和SSH连接到您的网站。连接到您的网站时，您只需将协议更改为“ SFTP – SSH”。

8.使用Admin作为WordPress用户名

不建议使用“ admin”作为您的WordPress用户名。如果您的管理员用户名是admin，则应立即将其更改为其他用户名。

有关详细说明，请查看我们有关如何更改WordPress用户名的教程。

9.空主题和插件

互联网上有许多网站免费分发付费的WordPress插件和主题。有时候，很容易被诱惑使用您网站上的那些空插件和主题。

从不可靠的来源下载WordPress主题和插件非常危险。它们不仅可以危害您网站的安全，还可以用来窃取敏感信息。

您应该始终从可靠的来源（例如，插件/主题开发者网站或官方WordPress存储库）下载WordPress插件和主题。

如果您负担不起或不想购买高级插件或主题，那么始终有针对这些产品的免费替代产品。这些免费的插件可能不如付费插件，但它们可以完成工作，最重要的是确保您网站的安全。

您还可以在我们网站的“ 交易”部分中找到许多流行的WordPress产品的折扣。

10.不保护WordPress配置wp-config.php文件的安全

WordPress配置文件wp-config.php包含您的WordPress数据库登录凭据。如果遭到入侵，它将显示可能使黑客完全访问您的网站的信息。

您可以通过使用.htaccess拒绝对wp-config文件的访问来添加额外的保护层。只需将此小代码添加到您的.htaccess文件中。

<files wp-config.php>order allow,denydeny from all</files>

11.不更改WordPress表前缀

许多专家建议您更改默认的WordPress表前缀。默认情况下，WordPress使用wp_作为它在数据库中创建的表的前缀。您可以选择在安装过程中对其进行更改。

建议您使用更复杂的前缀。这将使黑客更难猜测您的数据库表名称。

有关详细说明，请参见有关如何更改WordPress数据库前缀以提高安全性的指南。

清理被黑的WordPress网站

清理被黑的WordPress网站可能真的很痛苦。但是，可以做到。

以下是一些资源，可帮助您开始清理被黑的WordPress网站：

• 修复被黑的WordPress网站的入门指南
• 如何扫描您的WordPress网站以查找潜在的恶意代码
• 如何在被黑的WordPress网站中找到后门并进行修复
• 当您被锁定WordPress管理员（wp-admin）时该怎么办
• 新手指南：如何从备份还原WordPress

奖金提示

为了获得坚实的安全性，我们在所有WordPress网站上都使用了Sucuri。Sucuri提供恶意软件检测和删除服务以及网站防火墙，可以保护您的网站免受最常见的威胁。